往水裡投毒？解析針對工業控制系統的勒索攻擊

近年來，勒索軟體攻擊已經成為一個非常讓人擔憂的安全問題，為了獲得高額的利益回報，網路犯罪者逐漸把目標轉向了醫療、金融等高價值行業。儘管目前所有的勒索攻擊都只是針對個人電腦，但隨著攻擊面的不斷擴大，最近的一些分析表明，工控系統網路極有可能成為勒索軟體的下一個攻擊目標，工控系統相關的關鍵基礎設施也將面臨勒索攻擊的可能。

昨天FreeBuf的文章《勒索軟體新威脅：你敢不付贖金，我就敢往你喝的水裡投毒》中提到了一種威脅工控系統的勒索軟體，而下面這篇文章則對此進行了深入剖析，來看看勒索軟體何以有如此能耐。

在這項研究中，喬治亞理工學院網路安全專家開發了第一個針對可編程邏輯控制器（PLC）的勒索軟體，模擬

城市供水設施

作為勒索攻擊目標進行攻擊建模和影響評估。（該項研究也作為專題報告

在近期RSA大會上作了分享展示，點擊文末的閱讀原文查看）

對供水設施的勒索攻擊演示視頻：

研究介紹

工控攻擊事件鮮有發生，但這並不代表工控系統就是安全的，據卡巴斯基最新研究表明，由於多種漏洞和不安全協議，工控系統安全甚至有惡化傾向。這種暫時的安全狀況，唯一的解釋就是，網路犯罪者還不能很好地將攻擊與利益結合。在勒索攻擊盛行的今天，企業數據是攻擊者的價值目標，雖然工控系統涉及的有價值數據較少，但如製造業、電站、供水及天然氣設施穩定安全的可持續運行，與人們的生活息息相關。前有北美停電事件、Stuxnet事件，近有烏克蘭電站被攻擊案例，從經濟和安全形度來看，都造成了很大程度的損失。

我們開發了第一個針對可編程邏輯控制器（PLC），名為LogicLocker的工控勒索軟體，以此探討工控系統成為勒索軟體攻擊的可能性。LogicLocker利用施耐德Modicon M241設備的原始API介面，掃描工控系統內部網路的已知安全漏洞設備，如Allen Bradley MicroLogix 1400 PLCs、 Schneider Modicon M221 PLCs，通過感染和繞過方式突破安全機制，鎖定設備合法用戶，並在程序中設置對物理和人身安全形成威脅的邏輯炸彈，作為贖金勒索之用。我們的主要研究涉及以下幾點：

開發了第一個針對工控系統可編程邏輯控制器（PLCs）的勒索軟體；

實現了跨供應商PLCs感染蠕蟲的概念性證明；

針對傳統勒索攻擊和ICS勒索攻擊進行了詳細的經濟因素和影響比較；

利用Shodan針對此類受勒索攻擊的工控設備進行了在線發現和調查；

作為研究和參考之用，制訂了工控系統勒索攻擊安全框架。

威脅建模

拋開國家支持黑客和腳本小子的攻擊，在該項研究中，我們假設勒索攻擊以經濟目的為出發點，由有組織網路犯罪組織發起，雖然這些攻擊者不具備固件級別的漏洞發現能力，但他們能熟練使用應用層的PLCs入侵能力，可以發現並控制大量工控設備。攻擊者通過對PLC代碼的修改，可以實現對工控設備的物理破壞，或設置程序邏輯炸彈，觸發更嚴重的安全威脅。

勒索攻擊的經濟影響評估

對醫院的勒索攻擊之所以能夠成功，是因為醫院必須對患者數據的絕對控制和需要；而工控系統同樣需要保證其PLC能安全穩定為民眾或下游生產商提供服務。

傳統勒索攻擊VS工控系統勒索攻擊

傳統攻擊造成的經濟損失，是由被攻擊竊取數據的價值和受害者數量範圍共同決定的，攻擊者在發起攻擊之前會衡量攻擊成本和攻擊價值。攻擊成本越高，意味著目標安全性越高，而獲得的勒索價值可能也就越多。這種關係可以用以下等式來表明：

對於勒索攻擊來說，工控系統算是數據價值較低且範圍相對較小的攻擊目標，但其設備停機時間、安全性能和操作人員安全造成的影響，卻遠遠超出通常價值範圍，攻擊者一樣可以利用這些致命要害對工控設備發起勒索攻擊。

實驗過程

下圖所示LogicLocker利用的三種PLCs分別為Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241，它們代表了當今比較流行和常用的PLC品牌，但在此我們需要提醒的是，這些品牌在內的大多數PLC設備都不具備合適的可編程驗證功能。

而另外一些具有密碼驗證和PLC編程校驗功能的設備，如MicroLogix 1400，一旦被攻擊者利用其它方式入侵控制之後，也存在被攻擊者設置新密碼進行勒索攻擊的可能。我們在Shodan上發現大量在線聯網的ICS設備：

為了驗證ICS勒索攻擊的可能性，我們構建了一城市供水模型並模擬勒索攻擊的可行性。在水質消毒階段，自來水內需要加入比例準確的氯粉，而在水量儲存階段，需要對水量進行最低限度用水保障控制。

勒索攻擊解析

對ICS的攻擊可以分為初始感染、進一步攻擊滲透、設備鎖定加密和勒索談判幾個步驟，整個過程如下圖所示：

後續相應列表則列出了每個步驟攻擊者可以執行的攻擊動作。

初始感染階段

通過感染直接聯網的ICS設備，或利用其它攻擊方式，入侵目標受害方用戶終端電腦系統，最終實現惡意軟體或勒索軟體的駐留，為後續勒索攻擊作好準備：

進一步攻擊滲透

通過內網和感染設備的進一步攻擊滲透，發現其它存在漏洞的PLC設備和可以利用的脆弱性。攻擊者在內部網路的橫向滲透：

攻擊者在內部網路的縱向滲透：

鎖定加密

尋找的可以下手的目標PLC設備之後，攻擊就會發起對目標設備的鎖定和加密動作：

勒索談判

一旦成功對PLC設備進行鎖定或加密，攻擊者就獲取了對目標設備的控制許可權，就會受害方發起警告提示，以催促支付贖金，這些警告提示方式包括郵件、PLC頁面展示：

LogicLocker

在攻擊模型中，我們假定攻擊者能暴力破解連網的Modicon M241設備並竊取其用戶憑據，之後通過感染的LogicLocker掃描內部網路，發現存在漏洞的PLC設備。在鎖定階段，針對Modicon M221和MicroLogix 1400，LogicLocker可以實現重編程、密碼重設和合法用戶鎖定功能； 在加密階段，攻擊者可以利用其它標準加密方法任意加密設備密碼和程序；在勒索談判階段，攻擊者可以使用LogicLocker向受害方PLC設備管理人員發送警告郵件。

在該模型中，如果勒索贖金得到滿足，攻擊者就會向受害方提供一段設備重置程序以解除勒索，如果談判失敗或受害方拒絕支付贖金，攻擊者將會向供水設施中添加過量的對人體造成傷害的化學氯，另外，攻擊者還可以通過可編程邏輯控制器（PLC）來篡改水量設備讀數或關閉用水水閥，造成公眾恐慌。後續版本的LogicLocker軟體將增加警告郵件發送客戶端，通過該功能，如果勒索成功，攻擊者可以向受害方發送程序解鎖和重置程序。以下列表總結了LogicLocker可以執行的勒索攻擊動作。

安全防護

終端安全防護

實施深度防禦策略，包括更改默認密碼、禁用不需要的協議、設置訪問控制方法、禁用遠程可編程功能、保持設備固件更新、備份所有程序文檔。針對新購置設備，應該仔細考慮產品安全性能，另外，請注意PLC的密碼保護功能僅用來對可編程環境的合法用戶進行驗證，要避免成為勒索攻擊者的勒索手段。

網路安全防護

應該進行網路分段控制和可疑流量監控，另外，還應設置PLC程序自動備份功能，避免在未支付贖金情況下，攻擊者發起破壞性攻擊造成的影響。當然，還可以對PLC程序引入遠程認證技術以監測攻擊者對其進行的惡意修改。

安全策略

在用戶端，應該加強員工的安全意識培訓，提高釣魚郵件和外插USB的安全防範；同時制訂相應的安全應急響應和快速恢復策略，以備攻擊事件發生時能快速判斷攻擊影響狀況，及時恢復設備運行。

*參考來源：gatech.edu，FB小編clouds編譯，轉載請註明來自FreeBuf.COM